scryp
Wszystkie artykuły
7 min czytania

Dlaczego Twoje transkrypcje powinny pozostać w UE

Nagrania audio ze spotkań, wywiadów lub dyktowania niemal zawsze zawierają dane osobowe – głosy, imiona, opinie, czasem dane zdrowotne lub tajemnice handlowe. Mimo to większość usług transkrypcji przetwarza te dane na serwerach w Stanach Zjednoczonych.

Dla europejskich firm, kancelarii prawnych, gabinetów lekarskich i urzędów nie jest to tylko teoretyczne ryzyko – to namacalny problem ochrony danych. Ten artykuł wyjaśnia, dlaczego miejsce przetwarzania danych jest decydujące i na co powinieneś zwrócić uwagę.

Problem z serwerami w USA

Europejskie dane na serwerach w USA podlegają amerykańskiemu CLOUD Act. Amerykańskie urzędy mogą żądać ich ujawnienia – nawet bez nakazu europejskiego sądu. To bezpośrednio przeczy RODO i zostało potwierdzone wyrokiem Trybunału Sprawiedliwości UE w sprawie Schrems II.

Amerykański CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) pozwala urzędom USA żądać ujawnienia danych od firm amerykańskich – niezależnie od tego, w którym kraju znajdują się serwery. Usługa transkrypcji z siedzibą w USA podlega temu prawu, nawet jeśli prowadzi centra danych w Europie.

Wyrok Schrems II Trybunału Sprawiedliwości Unii Europejskiej (sprawa C-311/18, lipiec 2020) potwierdził, że USA nie zapewniają odpowiedniego poziomu ochrony danych w rozumieniu RODO. Privacy Shield został uznany za nieważny. EU-US Data Privacy Framework (DPF) z 2023 roku ma rozwiązać ten problem, ale już jest kwestionowany prawnie.

Dla firm oznacza to: kto przekazuje nagrania audio zawierające dane osobowe usłudze z USA, ponosi ryzyko, że podstawa prawna przekazywania danych ponownie zniknie.

Co właściwie oznacza “dane w UE”

Nie każda usługa, która reklamuje “centra danych w UE”, oferuje prawdziwą suwerenność danych. Decydujące są trzy punkty:

  • Siedziba firmy: Amerykańska firma z serwerami w UE nadal podlega CLOUD Act. Tylko firma z siedzibą w UE w pełni podlega prawu europejskiemu.
  • Operator infrastruktury: Kto fizycznie obsługuje serwery? Europejski hosting jak Hetzner podlega wyłącznie prawu europejskiemu. AWS, Google Cloud czy Azure – nawet z regionami w UE – to firmy amerykańskie.
  • Certyfikaty: ISO 27001 to międzynarodowy standard systemów zarządzania bezpieczeństwem informacji. Potwierdza, że operator centrum danych wdrożył systematyczne środki ochrony poufności, integralności i dostępności.

Dlaczego Hetzner jako centrum danych

scryp przetwarza i przechowuje wszystkie dane wyłącznie w firmie Hetzner w Niemczech. To celowa decyzja architektoniczna:

  • Certyfikat ISO/IEC 27001 – System zarządzania bezpieczeństwem informacji jest regularnie audytowany przez niezależnych audytorów.
  • Firma w 100 % niemiecka – Brak spółki matki w USA, brak dostępu na mocy CLOUD Act. Hetzner podlega wyłącznie prawu niemieckiemu i europejskiemu.
  • Geograficznie redundantne centra danych w Niemczech – Twoje dane nigdy nie opuszczają UE.
  • Własny sprzęt – Hetzner obsługuje własne serwery i infrastrukturę sieciową. Brak zależności od amerykańskich hyperscalerów.

Austriacka firma, europejskie wartości

scryp to austriacka firma. Cały nasz zespół, kierownictwo i struktura prawna znajdują się w UE. Oznacza to:

  • Podlegamy wyłącznie prawu europejskiemu – RODO, DSG (Austria), brak CLOUD Act.
  • Żadna spółka matka w USA nie może zostać zmuszona do ujawnienia danych.
  • Nasza polityka prywatności kieruje się prawem austriackim i europejskim – nie prawem o ochronie danych Kalifornii czy Delaware.

Szyfrowanie jako dodatkowe zabezpieczenie

Samo umiejscowienie serwera nie wystarczy. Nawet na serwerach w UE dane mogą zostać naruszone – przez ataki hakerskie, dostęp wewnętrzny lub błędy techniczne. Dlatego scryp łączy lokalizację w UE z szyfrowaniem po stronie klienta:

  • Audio jest szyfrowane w przeglądarce, zanim trafi na serwer.
  • Transkrypcje są przechowywane w postaci zaszyfrowanej– serwer nigdy nie widzi tekstu jawnego.
  • Nawet w razie wycieku danych byłyby one bez osobistego klucza użytkownika bezwartościowe.

To decydująca różnica w porównaniu z usługami, które reklamują “AES-256 at rest”, ale przetwarzają tekst jawny na serwerze, gdzie mogą go potencjalnie podejrzeć.

Checklista: suwerenność danych w usługach transkrypcji

  • Gdzie ma siedzibę firma? (UE vs. USA)
  • Kto obsługuje serwery? (hosting w UE vs. hyperscaler w USA)
  • Czy centrum danych ma certyfikat ISO 27001?
  • Czy dostawca podlega amerykańskiemu CLOUD Act?
  • Czy dane są szyfrowane po stronie klienta, czy tylko po stronie serwera?
  • Czy oryginalne nagrania są usuwane po przetworzeniu?
  • Czy istnieje umowa powierzenia przetwarzania danych (DPA) zgodnie z art. 28 RODO?

Podsumowanie

Miejsce przetwarzania danych nie jest detalem marketingowym – określa, jakiemu porządkowi prawnemu podlegają Twoje dane. Dla firm europejskich połączenie dostawcy z siedzibą w UE, centrum danych w UE z certyfikatem ISO 27001 i szyfrowania po stronie klienta jest najbezpieczniejszym sposobem przetwarzania danych audio zgodnie z ochroną prywatności. Kto nie oferuje tej ochrony, przerzuca ryzyko na Ciebie.

Dlaczego Twoje transkrypcje powinny pozostać w UE